Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La Inteligencia Artificial El Big Data y La Era Di
La Inteligencia Artificial El Big Data y La Era Di
resumen
*
Socia de la firma Martínez Devia & Asociados. Abogada de la Universidad de los
Andes (2011), máster en Derecho Comparado enfocado a la Propiedad Intelectual de la
Universidad California Western School of Law de San Diego en Estados Unidos (2014).
Certificada como auditora interna de Sistemas de Gestión de la Seguridad de la Infor-
mación - ISO 27001:2013 (2017). Contacto: amartinez@martinezdevia.com. Bogotá D.
C. (Colombia). Fecha de recepción: 8 de marzo de 2019. Fecha de aceptación: 21 de
mayo de 2019. Para citar el artículo: Martínez Devia A. “La inteligencia artificial, el
Big Data y la era digital: ¿una amenaza para los datos personales?”, Revista La Propiedad
Inmaterial n.º 27, Universidad Externado de Colombia, enero-junio 2019, pp. 5-23.
doi: https://doi.org/10.18601/16571959.n27.01
5
Andrea Martínez Devia
abstract
introducción
la inteligencia artificial
queda de Google o Yahoo! por medio de los cuales se pueden estudiar hábitos y
comportamientos de las personas, así mismo, plataformas como YouTube, Spotify o
Netflix que analizan las preferencias para ofrecer películas, series, canciones o vídeos.
La IA funciona con la presencia de dos elementos fundamentales. El primero
es el computing power que comprende el desarrollo de los sistemas computaciona-
les y sus máquinas que permiten procesar datos y realizar operaciones en tiempos
mínimos, ampliando cada vez más la memoria de almacenamiento3. El segundo
elemento son los macrodatos o big data, que alimentan a la IA, que consisten en
un gran volumen de datos producidos por diferentes fuentes (humanas, biomé-
tricas, máquina a máquina, grandes transacciones, uso de la web, redes sociales,
entre otros), que pueden estar estructuradas o no y son procesadas por diferentes
herramientas para obtener diversos resultados.
El uso continuo que se hace de distintas tecnologías (webs, aplicaciones, ser-
vicios, sensores incorporados en dispositivos, las búsquedas en internet, las redes
sociales, computadores portátiles, teléfonos inteligentes, dispositivos GPS, entre
otros) ha incrementado la cantidad de información que se almacena cada día.
El volumen de datos que se recolecta actualmente no podría ser analizado por
los métodos tradicionales de almacenamiento, acceso y análisis, por esta razón se
han desarrollado nuevas herramientas de IA, la implementación de algoritmos y
estadísticas mediante las cuales se pueden obtener resultados, tales como el com-
portamiento de las personas, sus gustos, la toma de decisiones, el reconocimiento
de voz, la identificación de objetos, el diagnóstico de enfermedades, el ahorro de
energía, la elaboración de perfiles para analizar o predecir aspectos relativos al ren-
dimiento profesional, la situación económica, la salud, los intereses, la fiabilidad,
el comportamiento o la ubicación, datos que se utilizan con diversos fines y se
encuentran al alcance de empresas, Estados e incluso particulares4.
Muchos de los resultados obtenidos con las herramientas de IA están relacio-
nados con personas, lo que implica que dentro del gran conjunto de datos que
se recogen mediante la técnica del big data o macrodatos se están recolectando
datos de carácter personal. Lo anterior crea un riesgo para el titular si no se hace
un tratamiento responsable, ético y transparente que proteja sus derechos y liber-
tades. Esta situación que se presenta con gran facilidad en esta época en la que “el
internet de las cosas”5, la robótica y en general la tecnología están dominando al
mundo. Ese mismo lugar donde la interconexión digital y transmisión entre los
diferentes dispositivos, objetos, personas y empresas se hace cada vez más rápido,
en más territorios y con infinidad de actores.
Así mismo, otro de los vacíos con los que cuenta la legislación colombiana es que
está limitada y es insuficiente en el ámbito de aplicación territorial para la era
digital, ya que no contempla el tratamiento de los datos personales en medios
ubicados fuera del país.
A diferencia del régimen colombiano, la Unión Europea ha trabajado en adap-
tar sus regulaciones a la era digital y la IA, adoptando en diferentes documentos
directrices sobre estos temas. En primer lugar, está el Reglamento General de la
Unión Europea de Protección de Datos Personales (rgdp), expedido el 25 de mayo
de 2018, en el cual se establece en sus considerandos 6 y 7 que la rápida evolución
y revolución tecnológica, que se ha realizado en poco tiempo, y la magnitud de
la recolección y del intercambio de datos personales ha aumentado de manera
significativa11. Es por esto que de acuerdo con el considerando 7 se ha llevado a la
necesidad de crear un marco de datos personales más actualizado frente a la nueva
era digital que permita desarrollar la economía aprovechando las nuevas tecnologías
que esta era trae, como se muestra a continuación:
Estos avances requieren un marco más sólido y coherente para la protección de datos
en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de
generar la confianza que permita a la economía digital desarrollarse en todo el mercado
interior. Las personas físicas deben tener el control de sus propios datos personales.
Hay que reforzar la seguridad jurídica y práctica para las personas físicas, los operadores
económicos y las autoridades publicas.12
demostrado que la protección de la vida privada y los datos personales pueden ser
afectados de diversas formas e intensidades y que afectan no solo a un territorio,
sino a titulares en varios países del mundo. Se incluyen así titulares ubicados en
Colombia, ya que muchas de las plataformas y herramientas son usadas no solo en
un territorio, sino en varios países a nivel mundial; por tanto, los riesgos y mal uso
que suceden en un país pueden afectar la información de personas ubicadas en otro.
Así las cosas, los escándalos a nivel mundial que a continuación se mencionan,
son una clara muestra de cómo un mal uso de datos por medio de herramientas
de la IA puede causar un daño grave a los titulares de los datos no solo en un país,
sino en varios países del mundo. En primer lugar, tenemos el caso de Cambridge
Analytica, una empresa de análisis de datos políticos que de acuerdo con lo expuesto
por el diario británico The Guardian, en colaboración con los periódicos The New
York Times, usó sin autorización los datos personales de más de cincuenta millones
de usuarios de Facebook19, con el propósito de manipular psicológicamente a los
votantes en las elecciones de Estados Unidos en el 2016, donde Donald Trump
resultó electo presidente. La manera como se obtuvieron estos datos fue a través
de un test de personalidad desarrollado por el profesor de la Universidad de
Cambridge, Aleksandr Kogan. Dicho test fue completado por 265 000 usuarios,
lo que estos no sabían, es que mediante el acceso al test estaban permitiendo que
una aplicación de Facebook sustrajera datos como nombres, fechas de nacimiento,
geolocalización, lista de las páginas a las que se les daba “me gusta”; además, esto no
analizaba solo su perfil, sino el perfil de todos sus contactos, permitiendo realizar
un profiling o generación de perfiles20, el cual fue vendido a la empresa Cambridge
Analytica y utilizada por esta para identificar cuál debía ser el contenido de los
mensajes, los temas y las palabras a utilizar para cambiar la forma de pensar de los
votantes y obtener el triunfo de Donald Trump21. En este caso, se demuestra cómo
se hizo un tratamiento abusivo de los datos personales mediante una herramienta
de captación de información sin que el titular lo supiera, afectando de esta manera
la privacidad, el consentimiento y el derecho fundamental de la intimidad de los
usuarios de Facebook.
A raíz del anterior escándalo, varios países del mundo —como Irlanda,
Estados Unidos, Gran Bretaña, Francia, Países Bajos, Canadá, Australia y
Nueva Zelanda— expidieron directrices de seguridad y buen tratamiento
de los datos que debe cumplir Facebook para poder continuar funcionando.
De manera similar, en Colombia, la Superintendencia de Industria y Comercio
expidió la Resolución 1321 de 2019, por medio de la cual estableció que esta red
social deberá adoptar nuevas medidas y mejorar las existentes para garantizar
19 The Guardian. Redacción. Facebook fined for data breaches in Cambridge Analytica
scandal. The Guardian. [Citado el 20 de abril de 2019]. https://www.theguardian. com/
technology/2018/jul/11/facebook-fined-for-data-breaches-in-cambridge-analytica-scanda
20 Op. cit., Cambridge Dictionary.
21 Parlament UK. The issue of data targeting, based around the Facebook, gsr and
Cambridge Analytica allegations. Parliamentary business. [Citado el 20 de abril de 2019].
22 Find Law. Joffe V. Google Inc. Find Law. [Citado el 20 de abril de 2019]. https://
caselaw.findlaw.com/us-9th-circuit/1643851.html.
23 Ibíd.
24 Revista Summa. El futuro de la inteligencia artificial. Revista Summa. [Citado el
20 de abril de 2019]. http://revistasumma.com/futuro-la-inteligencia-artificial/.
ne, ya que hoy en día el uso del internet, las herramientas de IA y las diferentes
plataformas no solo afecta y pone en riesgo los datos de los residentes de un país,
sino de una gran cantidad de usuarios a nivel mundial.
Ahora bien, para que se logre un buen tratamiento de datos personales, no solo se
debe imponer la carga a los gobiernos, sino también a aquellos que manejan los
datos personales, pues, aunque existan mandatos legales si estos no son aplicados
por quienes hacen el tratamiento, ya sea como responsables25 y encargados26 del
tratamiento de los datos personales, el vacío y el riesgo en el uso de los datos seguirá
latente. Muchas de las empresas que están utilizando herramientas de Inteligencia
Artificial (IA) emplean datos personales de manera indiscriminada, sin informar
a los titulares las finalidades del tratamiento con quiénes se están compartiendo
los datos, qué canales pueden usar para acceder a los datos, dónde se tienen al-
macenados, haciendo que el titular pierda el control de sus datos y poniendo en
riesgo sus derechos y libertades, así como los derechos de terceros que pueden
verse involucrados en el tratamiento, más aún en esta época en la que “el internet
de las cosas”27, la robótica, la IA y, en general, la tecnología están dominando al
mundo y la interconexión digital entre dispositivos, objetos, personas, empresas y
territorios, donde participan infinidad de actores, recolectando datos y, en varios
casos, sin que el titular tenga conocimiento.
En Colombia y en la Unión Europea es deber de todos aquellos que hacen
tratamiento de datos personales cumplir con el Principio de Responsabilidad De-
mostrada o Accountability, que busca que los mandatos legales sobre el tratamiento
de los datos personales sean una realidad verificable y redunden en beneficio de
los derechos de las personas28, lo cual se podrá lograr mediante la implementación
de mecanismos y protocolos internos de seguridad y control para el manejo de
los datos eficientes.
El éxito de los mecanismos dependerá del compromiso real de todos los miembros de
una organización, pero, especialmente, de los directivos de las organizaciones ya que sin
su apoyo franco y decidido todo esfuerzo será insuficiente para diseñar, implementar,
revisar, actualizar y evaluar los programas de gestión de datos.29
25 Op. cit. Colombia. Congreso de la República. Ley Estatutaria 1581. Literal e) artículo 3.
26 Op. cit. Colombia. Congreso de la República. Ley Estatutaria 1581. Literal d)
artículo 3.
27 Op. cit. Rose, Karen, Eldridge, Scott y Chapin, Lyman.
28 Superintendencia de Industria y Comercio. Guía para la implementación del Prin-
cipio de Responsabilidad Demostrada (accountability). Superintendencia de Industria y
Comercio. [Citado el 20 de abril de 2019].
29 Colombia. Superintendencia de Industria y Comercio. Resolución 1321. Por la cual
se imparten órdenes dentro de una actuación administrativa (Bogotá: Radicación 18233402
del 24 de enero de 2019).
Así mismo, es importante que además de acatar las directrices nacionales e in-
ternacionales establecidas por los diferentes entes gubernamentales, se implementen
mecanismos de autorregulación para que las empresas determinen los parámetros
de acuerdo con el tipo de organización, los datos tratados, el tipo de titulares, entre
otros. La autorregulación es entendida como:
La autorregulación sólo redundará en beneficio real de las personas en la medida que sea
bien concebida, aplicada y cuente con mecanismos que garanticen su cumplimiento de
manera que no se constituyan en meras declaraciones simbólicas de buenas intenciones
sin que produzcan efectos concretos en la persona cuyos derechos y libertades pueden
ser lesionados o amenazados por el tratamiento indebido de sus datos personales.31
Uno de los mecanismos de autorregulación que puede ser implementado por los
responsables del tratamiento es la protección de datos desde el diseño que consis-
te en que la privacidad se integre desde el inicio en la gestión y ciclo de vida del
tratamiento de datos como se establece en el Considerando 78 del rgpd, a saber:
estado de la técnica, de que los Responsables y los Encargados del tratamiento están
en condiciones de cumplir sus obligaciones en materia de protección de datos.
Otro de los mecanismos de autorregulación que pueden ser utilizados por los
responsables para la protección de los datos personales son la pseudonimización
entendida como:
Lo anterior con el fin de que los datos no estén ligados a una persona específica
y puedan ser de una manera más segura y efectiva. De igual manera, la minimi-
zación en la recolección de los datos a los necesarios para el tipo de tratamiento,
la limitación de las finalidades, los protocolos de seguridad, las políticas internas
sobre el tratamiento de los datos y la capacitación al personal que maneja los
datos, serán mecanismos de ayuda para la protección de estos. Estos mecanismos
deben garantizar la privacidad, la seguridad y evaluar el impacto que puede tener
el tratamiento de esos datos sobre los derechos y libertades de los titulares, siempre
teniendo de presente que ya no se habla de un tratamiento de un pequeño grupo de
datos, sino de datos masivos de carácter personal. Es indispensable que cuando se
realice el tratamiento de los datos personales se obtenga un consentimiento libre e
informado por parte del titular, en el que se establezcan las finalidades, los respon-
sables y los tipos de tratamiento de una manera lo suficientemente comprensible
para que pueda entender las razones detrás de la decisión de dar el consentimiento
para el uso de sus datos.
Un ejemplo de los avances que algunas de las grandes empresas responsables
han implementado fue la constitución, en el 2016, de la Asociación para la IA —la
Estos sitios de Internet recolectan un sin número de datos sin control y sin saber
quiénes hacen tratamiento de sus datos y dónde se están almacenando. Así mismo,
los datos están siendo recolectados por medio de Cookies36 y otras tecnologías de
rastreo que la mayoría de las páginas de internet y aplicaciones usan para recolec-
tar datos como el buscador y el tipo de dispositivo, lenguaje, tiempos de acceso,
páginas visitadas, su dirección IP y las url, datos y transacciones que la mayoría
de titulares desconocen.
Los titulares usualmente no realizan un ejercicio juicioso de leer los términos y
condiciones del uso de las herramientas, las políticas de tratamiento de información
de datos personales desconocen y no ejercen sus derechos; esto produce la entrega
de toda clase de datos, incluyendo datos privados y sensibles, datos que son usados
por los responsables para realizar diferentes usos que pueden poner en riesgo la
privacidad y los intereses del titular, como sucedió mediante las herramientas de
analítica y la publicidad comportamental usadas en el caso de Cambridge Analytica,
antes mencionado, en el que se logró identificar las preferencias, gustos y pasiones
de los usuarios de Facebook para, de esta manera, ajustar el contenido37 que veían
los usuarios y obtener el objetivo que la compañía quería, es decir, el voto por el
candidato Donald Trump, por medio de una manipulación de la mente del usuario,
sin que este lo supiera.
Lo descrito trae como lección que el titular del dato debe ser más consiente y
tener en consideración de las diferentes consecuencias y riesgos que pueden correr
frente a sus datos personales y la privacidad de los estos, sino se ejerce un mayor
control al momento de la entrega y la revisión de las finalidades para los cuales
van a ser tratados. Así mismo, los usuarios pueden implementar algunas medidas
sencillas para proteger sus datos personales como son: i) limitar los datos que se
publican, no se debe compartir datos como dirección, datos personales, bancarios,
números telefónicos o domicilios, ii) uso limitado de mensajes privados, es decir,
no compartir contraseñas, datos bancarios y ninguna información compromete-
dora, ya que dichos mensajes además de captar información pueden ser objeto de
phishing38; iii) borrar el historial de búsqueda del navegador, iv) utilizar la navega-
ción incógnita para que herramientas como las cookies no puedan identificar a la
persona; v) uso de contraseñas seguras, vi) uso de redes de wifi privadas, vii) leer
los términos y condiciones de las plataformas y redes sociales a las que se adhieren.
La IA y la era digital no dan espera, razón por la cual se necesitan titulares
preparados para afrontar los desafíos que estas traen, es decir, titulares digitales
adaptados al siglo xxi, conocedores de los riesgos, las garantías y las facultades que le
pertenecen; titulares empoderados de la protección de sus datos y el cumplimiento
de sus derechos. Este proceso debe empezar desde los colegios y universidades, para
que, a partir de una etapa temprana, puedan como ciudadanos y desarrolladores
de nuevas herramientas tecnológicas tener una visión ética y responsable en el uso
de los datos personales y la IA.
conclusiones
Actualmente son pocas las áreas en las que no se aplica la IA o algún tipo de
herramienta tecnológica, cada día son más personas las que hacen uso de nuevos
servicios y dispositivos tecnológicos, por tanto, cada día se crean y almacenan más
datos en la red39. La era digital, la IA y el big data es un hecho con el que debemos
aprender a vivir. Sin embargo, se requiere reflexionar sobre el papel que desempe-
ñan las normas, leyes y regulación, el valor que los titulares dan a sus derechos en
cuanto a la protección de datos personales, su privacidad y el tratamiento que se
dará a los datos personales. Deben existir reglas claras entre todos los actores, pues
cualquiera de las partes puede afectar la cadena de protección de la información.
Es fundamental que los gobiernos y las instituciones (locales, regionales,
nacionales, internacionales) estén al tanto de los avances y agilicen los trámites
necesarios para la expedición de nuevas regulaciones adaptadas a la era digital,
pues la falta de regulación crea vacíos en cuanto a las prácticas que se pueden
realizar mediante la IA, los límites del uso de los datos personales, las medidas de
seguridad y las sanciones por un mal uso de los datos personales, ya que uno de
los problemas actuales es que las normas de protección de estos datos no avanzan
al mismo ritmo de las nuevas tecnologías, provocando que las regulaciones sean
precarias en cuanto a la realidad actual.
Como punto de partida y ejemplo para las diferentes regulaciones, incluyendo
la colombiana, existe el Reglamento Europeo de Protección de Datos Personales, el
cual fue elaborado con base en el desarrollo de la era digital y las nuevas tecnologías,
permitiendo la protección de los derechos de los titulares de los datos personales,
pero sin frenar el desarrollo de las nuevas tecnologías. Así mismo, no solo deben
existir reglamentos sobre protección de datos personales, sino documentos que
manejen directrices específicas sobre diferentes temas como, por ejemplo, la Guía
Ética para el Uso Responsable de la Inteligencia Artificial, Guía para la Implemen-
tación del Principio de Responsabilidad Demostrada (accountability), entre otros.
Dichos documentos complementan y dirigen a todos los actores involucrados en los
diferentes tratamientos, orientándolos a realizar prácticas adecuadas para proteger
los derechos de los titulares y los intereses de la misma sociedad. Sin embargo, cabe
destacar que todas las políticas, directrices y regulaciones deben ser enfocadas bajo
los principios de privacidad, responsabilidad y transparencia para generar seguridad
y confianza en el tratamiento de los datos y bajo el contexto de cada territorio.
Como se ha mencionado en el presente documento, la protección de los datos
personales no solo es una responsabilidad de los gobiernos, los responsables del
tratamiento son la piedra angular en la protección de los derechos de los titulares, ya
que son ellos quienes están haciendo el uso masivo de los datos (big data) para que
el funcionamiento de todas sus herramientas de IA. Por tanto, sus buenas prácticas,
la transparencia que ellos tengan frente a los titulares, así como la privacidad y la
seguridad con las que manejen los datos son factores clave para generar la con-
fianza de los titulares y así incentivar el uso de las nuevas tecnologías y promover
el desarrollo de la sociedad, pero bajo un esquema de responsabilidad, conciencia
y protección, pues como señaló el vicepresidente para la Agenda Digital del Eje-
cutivo Comunitario, Andrus Ansip, “para que la gente acepte y utilice sistemas
basados en inteligencia artificial necesita confiar en ellos, saber que su privacidad
es respetada, que las decisiones no son parciales”, solo aquellas empresas que estén
preparadas para abrazar estas tecnologías lograrán crear negocios sostenibles en el
tiempo y ser sobre todo competitivos.
Sin embargo, para que funcionen los esfuerzos realizados por los gobiernos
y los responsables del tratamiento de los datos, es imprescindible un mayor
involucramiento de la ciudadanía frente al conocimiento de sus derechos como
titulares de los datos personales, ya que muchas veces ni siquiera saben que los
tienen, deben estar más atentos a las tecnologías que usan y consultan, así como
a los tipos de datos que están aportando. Así mismo, también deberá existir la
provisión de recursos de parte del Estado y el planteamiento de estrategias más
amplias de divulgación para dotar los ciudadanos de las herramientas suficientes
que les permite entender las implicaciones que tiene esta era digital, siendo cada
persona veedora de sus derechos y estando preparados para responder a los riesgos
que se va a enfrentar el tratamiento de sus datos.
bibliografía
Parlament UK. The issue of data targeting, based around the Facebook, GSR
and Cambridge Analytica allegations. Parliamentary business. [Citado el 20
de abril de 2019]. https://publications.parliament.uk/pa/cm201719/cmselect/
cmcumeds/363/36306.htm.
Prosoft 2.0. Estudio de autorregulación en materia de privacidad y protección
de datos personales en el ámbito de las TI. Prosoft 2.0. [Citado el 20 de abril
de 2019]. https://prosoft.economia.gob.mx/Imagenes/ImagenesMaster/Estu-
dios%20Prosoft/fref_04.pdf.
Real Academia Española. Definición inteligencia artificial. Real Academia Es-
pañola. [Citado el 20 de abril de 2019] https://dle.rae.es/?id=LqtyoaQ.
Red Iberoamericana de Protección de Datos. Grupo de trabajo temporal
sobre autorregulación y protección de datos personales. Red Iberoamericana
de Protección de Datos. [Citado el 20 de abril de 2019]. https://habeasdataco-
lombia.uniandes.edu.co/wp-content/uploads/ripd-autorregulaci%c3%93n-
y-protecci%c3%93n-de-datos-personales-bolivia-2006.pdf.
Revista Summa. El futuro de la inteligencia artificial. Revista Summa. [Citado el
20 de abril de 2019] http://revistasumma.com/futuro-la-inteligencia-artificial/
Romero, Graciela. Publicidad basada en el comportamiento en internet experien-
cia de la autoridad de protección de datos de Uruguay. Redipd. [Citado el 20
de abril de 2019]. http://www.redipd.es/actividades/encuentros/xi/common/
Ponencias/P5_uruguay_texto.pdf.
Rose, Karen, Eldridge, Scott y Chapin, Lyman. La internet de las cosas. Una
breve reseña. Internet Society, 2015.
Seamans, Robert. Artificial Intelligence and Big Data: Good for Innovation?
Experience Faculty & Research. [Citado el 20 de abril de 2019]. https://www.
stern.nyu.edu/experience-stern/faculty-research/artificial-intelligence-and-big-
data-good-innovation.
Superintendencia de Industria y Comercio. Guía para implementación del
Principio de Responsabilidad Demostrada (accountability). Superintendencia
de Industria y Comercio. [Citado el 20 de abril de 2019]. https://issuu.com/
quioscosic/docs/guia_accountability_26_p__g.
Viguri, Jorge. La implementación de nuevos esquemas de certificación en la UE
como garantía de los derechos fundamentales de consumidores y usuarios.
Revista cesco de Derecho de Consumo, (2016): 28-40.
The Guardian. Redacción. Facebook fined for data breaches in Cambridge
Analytica scandal. The Guardian. [Citado el 20 de abril de 2019]. https://www.
theguardian. com/technology/2018/jul/11/facebook-fined-for-data-breaches-
in-cambridge-analytica-scanda